Получение файлов для дальнейшего анализа

Этот раздел содержит действия по реагированию, направленные на получение доказательств нарушения безопасности для дальнейшего расследования. Вы можете получить:

• Файл
• Ключ реестра
• NTFS-метафайлы
• Данные для расследования
• Образ диска
• Дамп памяти
• Процесс дампа памяти

Для выполнения действий по реагированию вам потребуется:

• Одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.

Вы можете выполнить действия по реагированию одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из телеметрии события.

  Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из графа расследования.

  Этот параметр доступен, если граф расследования построен.

• Из таблицы активов.
• Из раздела История реагирований.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Реагирование из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Если вы хотите выполнить действие по реагированию Ключ реестра или Данные для расследования, вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию нажмите Получить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Реагирование из сведений об устройстве

Чтобы выполнить действие по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

   Откроется окно с информацией об устройстве.

4. В раскрывающемся списке Выбор действий по реагированию нажмите Получить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Реагирование из телеметрии события

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
3. В раскрывающемся списке Выбор действий по реагированию нажмите Получить.
4. В открывшемся контекстном меню выберите нужное действие по реагированию.

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите нужное действие по реагированию.

Реагирование из графа расследования

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащего устройство, для которого вы хотите выполнить реагирование.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

   Откроется окно с информацией об устройстве.

4. В раскрывающемся списке Выбор действий по реагированию нажмите Получить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Если вы хотите выполнить действие по реагированию Данные для расследования или Ключ реестра, вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите нужное действие по реагированию.

Реагирование из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите нужное действие по реагированию.

В начало